Security Blog
Security Blog
Posted By Gregory

Najlepsze wtyczki WordPress do uwierzytelniania dwuskładnikowego

Chcesz dodać kolejny poziom bezpieczeństwa dla swojej witryny i kont administratora? Mechanizm uwierzytelniania dwuskładnikowego pozwala na użycie telefonu komórkowego do weryfikacji przed wejściem do WordPressa.


English version: Best WordPress Plugins for Two-Factor Authentication


Autoryzator Google

Uwierzytelnianie dwuskładnikowe Duo

miniPomarańcza

Mechaniczne SMS-y

Rublon

Autentyczność

OpenID

Klucz wiolinowy

Zapamiętywanie loginów i haseł do każdej witryny może być trudnym zadaniem. Nawet jeśli przechowujesz wszystkie swoje hasła w menedżerze haseł, nie będziesz w stanie ich całkowicie zabezpieczyć. Na przykład hasło może zostać skradzione podczas logowania się do niezabezpieczonych połączeń, takich jak publiczne sieci Wi-Fi.

Jeśli masz jakieś złe doświadczenia w tym zakresie, musisz zrozumieć potrzebę najlepszego sposobu zabezpieczenia swoich loginów i haseł do różnych kont. Obejmuje to prawie wszystko. Nie chcesz, aby Twoja poczta e-mail, media społecznościowe, strony internetowe, a zwłaszcza konta bankowe zostały zhakowane. Może zniszczyć Twoją reputację w Internecie, a Ty będziesz musiał stawić czoła ogromnym problemom.

W ten sam sposób, jeśli masz wiele stron internetowych i zawsze pracujesz online, konieczne jest skorzystanie z czegoś, co pozwoli ci uporządkować wszystko. Jeśli zarządzasz witryną WordPress dla siebie lub klienta, będziesz musiał znaleźć sposób na odpowiednie zabezpieczenie jej przed zasięgiem hakerów i innych potencjalnych zagrożeń. Dlatego rozsądne jest posiadanie dodatkowej, drugiej warstwy ochrony dla kont administratora.

Mechanizm uwierzytelniania dwuskładnikowego pozwala chronić konta WordPress za pomocą specjalnej wtyczki uwierzytelniającej. Umożliwi Ci to dostęp do panelu administracyjnego WordPressa za pomocą telefonu komórkowego i nawet jeśli Twój login i hasło będą jawne, nikt nie będzie mógł włamać się do Twojej witryny.

Chociaż WP Cerber Security ma zaawansowaną funkcję uwierzytelniania dwuskładnikowego , przyjrzyjmy się lepiej niektórym darmowym i płatnym wtyczkom WordPress do uwierzytelniania dwuskładnikowego.

Wtyczka Google Authenticator

Nie ma wątpliwości, że Google Authenticator to jedna z najpopularniejszych dostępnych obecnie wtyczek do uwierzytelniania dwuskładnikowego. Ale nie dajcie się zwieść, ponieważ Google Authenticator to w rzeczywistości nazwa aplikacji mobilnej, a wtyczka została nazwana od niej.

Jeśli posiadasz smartfon, wtyczka pozwoli Ci zabezpieczyć Twoją witrynę WordPress w najwygodniejszy możliwy sposób. Możesz zabezpieczyć swoją witrynę za pomocą aplikacji mobilnej Google Authenticator na Androida, iPhone'a i Blackberry.

Wymóg uwierzytelniania dwuskładnikowego można włączyć dla poszczególnych użytkowników. Możesz włączyć tę opcję dla swojego konta administratora, ale zaloguj się jak zwykle przy użyciu mniej uprzywilejowanych kont.

Link do wtyczki: https://wordpress.org/plugins/google-authenticator/

  • Plusy: Darmowa wtyczka i bezpłatna aplikacja mobilna
  • Minusy: Trzeba używać smartfona podłączonego do Internetu i instalować aplikację mobilną, trzeba ręcznie konfigurować wtyczkę dla każdego użytkownika, brak wsparcia
Google Authenticator for your WordPress blog must be configured per user base

Google Authenticator for your WordPress blog must be configured per user base on a user profile page

Jak korzystać z wtyczki Google Authenticator

Jeśli jesteś gotowy do korzystania z Google Authenticator na swojej stronie WordPress, wystarczy, że zainstalujesz i aktywujesz wtyczkę. Ustawienia wtyczki zobaczysz przechodząc do Użytkownik, a następnie Twój Profil. Po dotarciu na miejsce znajdziesz opcję ustawienia tajnego klucza lub kodu QR. Po skonfigurowaniu klucza lub kodu będziesz musiał pobrać na swój telefon bezpłatną aplikację Google Authentication, a następnie wprowadzić klucz lub kod QR. Po wpisaniu kodu lub klucza będziesz mógł połączyć aplikację ze swoją stroną internetową.

Po skonfigurowaniu tego wszystkiego za każdym razem, gdy będziesz się logować, będziesz musiał otworzyć aplikację i wprowadzić podane słowo kluczowe w wyznaczonym czasie. W ten sposób będziesz w stanie najlepiej zabezpieczyć swoją witrynę.

Wtyczka Duo Two-Factor Authentication

Duo Two-Factor Authentication to kolejna świetna wtyczka, którą powinieneś sprawdzić. Doda dodatkową warstwę weryfikacyjną do Twojego WordPressa na wiele sposobów. Możesz używać smartfona, aby zabezpieczyć swoją witrynę, a będziesz jedyną osobą, która uzyska dostęp do Twojej witryny za pomocą tego potężnego narzędzia. Wystarczy, że zainstalujesz wtyczkę Duo i założysz darmowe konto w serwisie Duo: https://duo.com . Opcjonalna aplikacja mobilna Duo działa na systemach Apple iOS, Google Android, BlackBerry, Palm, Windows Phone 7, Windows Mobile 8.1 i 10 oraz J2ME/Symbian.

Usługa Duo oferuje wiele sposobów uwierzytelniania dwuskładnikowego w WordPressie:

  1. Uwierzytelnianie jednym dotknięciem za pomocą aplikacji mobilnej Duo (nasz najszybszy i najłatwiejszy sposób uwierzytelnienia)
  2. Jednorazowe hasła generowane przez aplikację mobilną Duo (działają nawet przy braku zasięgu sieci komórkowej)
  3. Jednorazowe hasła dostarczane na dowolny telefon obsługujący SMS-y (działają nawet przy braku zasięgu sieci komórkowej)
  4. Oddzwonienie na dowolny telefon (komórkowy lub stacjonarny!)
  5. Jednorazowe hasła generowane przez token sprzętowy zgodny z OATH (jeśli czujesz się jak w starej szkole)

Link do wtyczki: https://wordpress.org/plugins/duo-wordpress/

  • Plusy: Możesz włączyć uwierzytelnianie dwuskładnikowe dla określonych ról. Opcjonalne wiadomości SMS służące do dostarczania kodów weryfikacyjnych. Darmowa wtyczka, darmowa aplikacja mobilna.
  • Wady: Rozwiązanie płatne, jeśli używasz wtyczki dla więcej niż 10 użytkowników na swoich stronach internetowych.
Duo Two-Factor Authentication plugin settings

Duo Two-Factor Authentication plugin settings

Jak korzystać z wtyczki Duo Two-Factor Authentication

Przede wszystkim będziesz musiał zainstalować wtyczkę i ją aktywować. Będziesz także musiał pobrać aplikację mobilną, pobierz ją tutaj: https://duo.com/product/trusted-users/two-factor-authentication/duo-mobile . Następnie będziesz musiał utworzyć konto w witrynie Duo Security, aby móc otrzymać klucze bezpieczeństwa. Kiedy logujesz się do swojej witryny, zostaniesz przekierowany na inną stronę logowania. Zostaniesz poproszony o wybranie właściwej metody uwierzytelnienia. Zapewni wiele opcji uwierzytelniania i umożliwi korzystanie z aplikacji mobilnej, jednorazowych haseł wygenerowanych w aplikacji, oddzwonienia na dowolny numer, jednorazowych haseł za pośrednictwem wiadomości SMS oraz jednorazowego hasła wygenerowanego przez zgodność z OATH token sprzętowy. To najlepszy sposób na zabezpieczenie Twojej witryny przed wszystkimi potencjalnymi zagrożeniami. Po wybraniu żądanej metody uwierzytelniania będziesz mógł dostać się do swojej witryny.

miniOrange – wtyczka do uwierzytelniania dwuskładnikowego

Dzięki wtyczce miniOrange Two-factor Authentication możesz ustawić bezpieczeństwo swojej witryny bez żadnych problemów. Jest prosty w konfiguracji i obsługuje uwierzytelnianie za pomocą Google Authenticator.

Link do wtyczki: https://wordpress.org/plugins/miniorange-2-factor-authentication/

  • Plusy: Darmowa wtyczka, wiele metod uwierzytelniania, trzy aplikacje mobilne: Authy, Google Authenticator, miniOrange Authenticator
  • Wady: Wymaga rejestracji na stronie miniOrange, wersja darmowa dostępna tylko dla jednego użytkownika, brak wsparcia dla wersji darmowej
Google Authenticator - Two Factor Authentication by miniOrange

Google Authenticator – Two Factor Authentication by miniOrange

Jak korzystać z wtyczki

Jest łatwy w konfiguracji i uwierzytelnia użytkowników za pomocą wiadomości SMS, wiadomości push, identyfikatora urządzenia lub kodu QR. Najpierw musisz zainstalować wtyczkę i ją aktywować. Następnie będziesz musiał się zarejestrować, a następnie będziesz musiał zweryfikować swój adres e-mail. Znajdziesz wiele opcji do wyboru metod uwierzytelniania. Możesz skorzystać z metody uwierzytelniania QR, a następnie zeskanować kod QR z aplikacji Mini Orange Authenticator. Zapewni Ci najlepsze rozwiązanie, które w łatwy sposób zabezpieczy Twoją witrynę.

Uwierzytelnianie dwuskładnikowe – wtyczka Clockwork SMS

Kolejnym łatwym w użyciu narzędziem do zabezpieczania witryny jest Clockwork SMS. Jeśli nie posiadasz smartfona i chcesz jak najlepiej zabezpieczyć swoją stronę internetową, możesz skorzystać z tej wtyczki, która Ci to umożliwi. Oferuje uwierzytelnianie dwuskładnikowe za pomocą wiadomości SMS, dzięki czemu możesz korzystać z dowolnego telefonu komórkowego.

Link do wtyczki: https://wordpress.org/plugins/clockwork-two-factor-authentication/

  • Plusy: Nie wymaga smartfona, działa bez Internetu, wykorzystując wiadomości SMS do dostarczania kodów weryfikacyjnych.
  • Wady: rozwiązanie płatne, wtyczka jest przestarzała (nie była aktualizowana od ponad 2 lat)

Jak korzystać z wtyczki

Jest prosty i łatwy w użyciu. Wszystko, co musisz zrobić, to zainstalować wtyczkę, a następnie ją aktywować. Jednak po aktywacji wtyczki będziesz musiał uzyskać klucz API ze strony Clockwork. Po skonfigurowaniu będziesz musiał przejść dalej i możesz go użyć do zabezpieczenia swojego WordPressa. Aby korzystać z tej wtyczki, niekoniecznie potrzebujesz smartfona. Będziesz jednak musiał wydać trochę gotówki, aby wiadomości dostarczane na Twój telefon za każdym razem, gdy będziesz się logować. Może to być najlepszy wybór dla wszystkich, którzy chcą z niego korzystać, a także dla tych, którzy nie mają smartfona ale będzie to trochę kosztować.

Wtyczka Rublon

Rublon jest także jedną z najlepszych wtyczek WordPress do uwierzytelniania dwuskładnikowego i zapewni Ci najlepsze rozwiązanie. Posiada własny pulpit nawigacyjny, który pozwoli Ci go skonfigurować. Możesz jednak chronić tylko jednego użytkownika na konto, co zapewni wiele opcji na pulpicie nawigacyjnym.

Link do wtyczki: https://wordpress.org/plugins/rublon/

  • Plusy: Darmowa wtyczka i darmowa aplikacja mobilna, przyjazny interfejs użytkownika
  • Wady: Bezpłatna dla tylko jednego użytkownika na stronie internetowej, brak obsługi weryfikacji SMS
Rublon two-factor authentication plugin for WordPress

Rublon two-factor authentication plugin for WordPress

Jak korzystać z wtyczki

Konfiguracja tej wtyczki jest również łatwym zadaniem. Przede wszystkim będziesz musiał zarejestrować się na oficjalnej stronie wtyczki, a następnie pobrać aplikację. Aplikacja będzie mogła również zeskanować kod kreskowy. Następnie będziesz musiał zainstalować i aktywować wtyczkę na swojej stronie internetowej. Będziesz mógł znaleźć opcję ustawienia urządzenia, którego chcesz używać do celów uwierzytelniania. Po skonfigurowaniu urządzenia będziesz mógł z niego prawidłowo korzystać. Teraz, logując się do swojej witryny, będziesz mógł korzystać z telefonu, skanować i logować się.

Jeśli jednak chcesz skonfigurować uwierzytelnianie dwuskładnikowe dla wielu użytkowników, będziesz musiał skorzystać z tej wtyczki premium.

Wtyczka Authy

Authy to kolejna świetna wtyczka, której możesz użyć do zabezpieczenia swojej witryny za pomocą uwierzytelniania dwuskładnikowego. Konfiguracja jest łatwiejsza i dzięki temu możesz znacznie ułatwić sobie pracę. Przyjrzyjmy się procesowi konfiguracji tego w Twojej witrynie WordPress.

Link do wtyczki: https://wordpress.org/plugins/authy-two-factor-authentication/

  • Plusy: Łatwa instalacja, przyjazny interfejs, opcjonalna weryfikacja za pomocą wiadomości SMS
  • Wady: rozwiązanie płatne, będziesz mieć tylko 100 uwierzytelnień miesięcznie za darmo, brak wsparcia dla wersji darmowej, aby aktywować usługę, której każdy użytkownik potrzebuje, aby podać swój numer telefonu komórkowego na stronie Authy.
Authy two factor authentication plugin has a user friendly interface

Authy two-factor authentication plugin has a user friendly interface

Jak korzystać z wtyczki Authy

Jeśli wybrałeś Authy jako narzędzie do uwierzytelniania dwuskładnikowego, będziesz musiał zainstalować wtyczkę i aktywować ją na swojej stronie WordPress. Gdy to zrobisz, będziesz musiał zainstalować aplikację Authy na swoim smartfonie i będziesz musiał założyć konto Authy. Następnie będziesz musiał wprowadzić klucz API ze swojego konta, a następnie możesz sprawdzić ustawienia i zastosować role do uwierzytelnienia.

Następnie będziesz musiał dodać numery telefonów użytkowników, dla których chcesz włączyć uwierzytelnianie. Wyśle określony kod lub token na Twój telefon, gdy będziesz próbował zalogować się do swojej witryny. Możesz wprowadzić ten konkretny token i będziesz mógł pomyślnie się zalogować.

Wtyczka OpenID

Jeśli chodzi o korzystanie z OpenID, powinieneś wiedzieć, że jest to łatwy sposób na znalezienie lepszego rozwiązania zabezpieczającego Twoją witrynę. Będziesz mógł zalogować się do swojej witryny za pomocą OpenID. Oznacza to, że jeśli korzystasz z usług takich jak Google+, Yahoo, Flickr, WordPress.com, będziesz mógł korzystać z tej wtyczki.

Link do wtyczki: https://wordpress.org/plugins/openid/

  • Plusy: Nie jest wymagana aplikacja mobilna
  • Wady: musisz mieć konto u dowolnego dostawcy OpenID, takiego jak Google+, Yahoo, Flickr, WordPress.com
The OpenID plugin allows users to authenticate to websites without using passwords

The OpenID plugin allows users to authenticate to websites without using passwords

Jak korzystać z wtyczki

Korzystanie z OpenID jest proste i nie musisz napotykać żadnych problemów. Będziesz musiał zainstalować i aktywować wtyczkę. Następnie będziesz musiał przejść do Użytkownicy. Zobaczysz opcję o nazwie „Twoje OpenID” i musisz sprawdzić jej ustawienia. Będziesz mógł dodać swoje konta OpenID w tej konkretnej sekcji, co umożliwi Ci korzystanie z kont społecznościowych w Twojej witrynie. Dzięki niemu wszystko stanie się łatwiejsze i bezpieczniejsze.

Jednak podczas korzystania z tej wtyczki pojawia się problem. Nawet jeśli ustawiłeś identyfikatory w swojej witrynie WordPress, nadal będziesz mógł zalogować się do swojej witryny przy użyciu nazwy użytkownika i hasła. Jeśli więc szukasz wysokiego poziomu bezpieczeństwa, nie będzie on w stanie się zmieścić.

Co w ogóle stało się z Clefem?

Cóż, nie ma wątpliwości, że Clef był jedną z najlepszych opcji, jeśli chodzi o korzystanie z wtyczek WordPress z uwierzytelnianiem dwuskładnikowym. Mamy jednak złą wiadomość dla wszystkich użytkowników korzystających obecnie z wtyczki Clef. Jeśli nie wiesz, powinieneś wiedzieć, że wtyczka Clef przestanie działać 6 czerwca 2017 r. Co więcej, wtyczka nie jest już dostępna do pobrania i nie będą wydawane żadne aktualizacje. Więc Clef odszedł na zawsze . Byłaby to lepsza opcja, ale istnieje kilka innych wtyczek do uwierzytelniania dwuskładnikowego dla WordPress, których możesz użyć. Tak więc kończą swój produkt Clef; możesz wymyślić inne opcje.

Jaka jest najlepsza alternatywa dla Clefa?

Jeśli szukasz najlepszych wtyczek do uwierzytelniania dwuskładnikowego, zawsze możesz sprawdzić wspomniane powyżejGoogle Authenticator lub Authy . Są to właściwie dobre wybory, jeśli obecnie używasz wtyczki Clef. Jeśli wcześniej nie korzystałeś z żadnej z tych wtyczek, możesz użyć Two-factor, Google Authenticator i Authy. Możesz także używać Rublon i OpenID, ale mają one kilka wad. Zawsze możesz sprawdzić bezpłatne wersje, aby zobaczyć, jak to działa w Twoim przypadku. Musisz wybrać taki, który pozwoli Ci zabezpieczyć Twoją witrynę i zapewni najlepszą i bezpieczną drogę do zalogowania się do Twojej witryny.

Jakie są wady korzystania z wtyczek uwierzytelniania dwuskładnikowego?

Chociaż niektóre z recenzowanych wtyczek zwiększą Twój spokój ducha, sprawdź wszystkie poniższe punkty, zanim zdecydujesz się na użycie uwierzytelniania dwuskładnikowego w swoim WordPressie

  1. Główną wadą jest konieczność korzystania z aplikacji mobilnej, którą należy zainstalować na smartfonie i dowolnym połączeniu z Internetem, jeśli zdecydujemy się na skorzystanie z darmowej wtyczki typu Google Authenticator .
  2. Najłatwiejszy sposób, bez użycia aplikacji mobilnej i smartfona podłączonego do sieci Interned, wymaga pewnej kwoty pieniędzy na opłacenie wychodzących wiadomości SMS, które zostaną dostarczone na telefony komórkowe
  3. Wszyscy użytkownicy Twojej witryny muszą podać swoje numery telefonów komórkowych, aby otrzymać kody weryfikacyjne.
  4. Jeśli zgubiłeś telefon, nie możesz się zalogować.
  5. Żadna z wymienionych wtyczek nie jest wtyczkami bezpieczeństwa i nie chroni witryny przed brutalnym wymuszaniem haseł użytkowników za pośrednictwem interfejsu XML-RPC, który jest domyślnie włączony w WordPress. Dlatego nadal musisz używać ochrony przed brutalną siłą, jaką zapewnia wtyczka WP Cerber .

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.